威胁快报|新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟
近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙。我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名。
Xulu并不是第一个攻击Docker的恶意挖矿团伙,但它不同于其他僵尸网络。Xulu感染一台服务器后,并不对外进行大规模扫描,而是使用OSINT技术,即利用开源情报,动态地从shodan网站获得可能的“猎物”ip列表。
此外,Xulu僵尸网络将自己的服务器放在Tor洋葱网络中,这使得对幕后黑手的追溯变得更加困难。
会挖矿的恶意Docker镜像
Docker容器是一个开源的应用容器引擎,可以让开发者打包他们的应用及依赖包到一个轻量级、可移植的容器中,从而在不同环境中可靠运行。
近年来随着微服务的流行,越来越多的企业在部署应用时使用容器,然而在这一过程中安全往往没有得到应有的重视,导致Docker容器在多起事件中成为网络攻击的靶子。
在本次Xulu僵尸网络事件中,我们注意到沦陷服务器上都被创建了镜像名为zoolu2/auto的恶意容器。
这些恶意容器中运行着如下进程
其中的挖矿进程很容易分辨
/toolbin/darwin -o us-east.cryptonight-hub.miningpoolhub.com:20580 -u xulu.autodeploy -p x --currency monero -i 0 -c conf.txt -r
尽管miningpoolhub.com是公开矿池,但由于它不提供每个用户的历史收益数据,我们无从得知攻击者从恶意挖矿中总共赚了多少钱。
僵尸网络的传播和持久化
Xulu僵尸网络进行自身的传播和持久化的过程中,使用了OSINT技术并借助了洋葱网络。
首先,该僵尸网络的控制服务器地址是http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion。".onion"后缀表明这是一个必须通过洋葱匿名网络访问的“洋葱服务”(又名“隐藏服务”)。
该僵尸网络以/toolbin/shodaemon作为守护进程:
不难看出该脚本下载了http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt,与本地硬编码的/toolbin/hcode.txt文件内容一起存入search.txt
运行/toolbin/shodan,读取search.txt的列表并对shodan发送如上图所示的查询。
这些查询会返回互联网上一系列开放了Docker服务(2375端口)的主机ip。尽管这些主机并非每个都存在漏洞,但攻击者仍然通过使用shodan的信息,避免了大规模扫描的进行。
在获取了使用Docker服务的主机列表并去除重复ip后,已沦陷的主机会向表中ip发送docker run命令,其中未授权访问漏洞的Docker服务将被部署"zoolu2/auto"恶意镜像,从而完成蠕虫的传播。
此外,Xulu僵尸网络还会每30分钟下载并执行从http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt下载的脚本,从而保持自身在受害主机上的活跃。
受害规模和安全建议
在docker hub官网我们可以看到,前文提到的"zoolu2/auto"已被下载超过1万次:
并且僵尸网络作者似乎仍在积极开发变种:
- 为了避免您成为此种恶意入侵和挖矿事件的受害者,阿里云安全为您提供如下安全建议:
- 不要将对内使用的服务(如Docker)开放在互联网上,应使用ACL或复杂密码等措施来保证仅有受到信任的用户才可以访问这些服务。
- 因为基于洋葱网络的“隐藏服务”已被用于多个僵尸网络的传播,不常使用洋葱网络服务的用户可以使用如下命令对其进行屏蔽:echo -e "n0.0.0.0 .onion" >> /etc/hosts
- 我们推荐您使用阿里云下一代防火墙,因为它在阻止、拦截此类需要外联的攻击时十分有效。用户将在AI技术的帮助下,免于恶意挖矿事件的困扰
- 我们同样推荐阿里云安全管家服务。该服务的用户可以就碰到的问题随时咨询安全专家。安全专家还可以帮助用户进行安全加固、事件溯源、蠕虫清理等
原文链接
本文为云栖社区原创内容,未经允许不得转载。
威胁快报|新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟相关推荐
- 威胁快报|ProtonMiner挖矿蠕虫扩大攻击面,加速传播
背景 近日,阿里云安全监测到一种挖矿蠕虫,正在互联网上加速传播.阿里云安全根据它使用ProtonMail邮箱地址作为矿池用户名的行为,将其命名为ProtonMiner.据分析,这种蠕虫与Trend ...
- 《2018年云上挖矿态势分析报告》发布,非Web类应用安全风险需重点关注
近日,阿里云安全团队发布了<2018年云上挖矿分析报告>.该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议. 报告指出,尽管加密货 ...
- 2018年云上挖矿态势分析报告》发布,非Web类应用安全风险需重点关注
近日,阿里云安全团队发布了<2018年云上挖矿分析报告>.该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议. 报告指出,尽管加密货 ...
- 威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利
一.背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件.***首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台"肉鸡"作为蠕虫脚本的下载源 ...
- 威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利...
一.背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件.黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台"肉鸡"作为蠕虫脚本的下载源. ...
- 威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐 ...
- 软件测试自动化验证码,借助 OCR,协助绕过 web 自动化测试中一些简单验证码问题。...
前言 做软件自动化的时候,最怕就是在登录的时候遇到验证码.以前的经验是让开发设置一个万能码或者把验证码屏蔽掉.现在人工智能发展很快,有一些库可以帮助我们识别这验证码,将这些库引入到我们自动化代码中,就 ...
- 数据结构--汉诺塔--借助栈实现非递归---Java
1 /*汉诺塔非递归实现--利用栈 2 * 1.创建一个栈,栈中每个元素包含的信息:盘子编号,3个塔座的变量 3 * 2.先进栈,在利用循环判断是否栈空, 4 * 3.非空情况下,出栈,检查是否只有一 ...
- 【应急响应】挖矿脚本检测指南威胁情报样本定性文件清除入口修复
文章目录 挖矿样本-Win&Linux-危害&定性 Linux-Web安全漏洞导致挖矿事件 Windows-系统口令爆破导致挖矿事件 Linux-个人真实服务器被植入挖矿分析 挖矿样本 ...
最新文章
- 2018-10:自考总结
- Python读取多个excel文件(删除字段、数据格式转换、dataframe多表合并)并写入ElasticSearch实战(自动创建索引、写入ElasticSearch、探索性数据分析)
- 金审系统与SAP接口
- bugku 闪得好快
- 9 Redis 持久化AOF
- html从入门到卖电脑(三)
- mysql 启动、重启、kill脚本
- python雷达图怎么做_使用Python绘制雷达图
- Scala 隐式转换
- Java原始客户端操作Mongodb 增删改查
- mongodb系列之--mongodb 主从配置与说明
- Altium Designer--如何走差分等长线
- heic转换成jpg,学会这个方法就够了
- HTTP协与Apache服务的搭建
- Blast2GO使用方法详解(命令界面)
- 用ProcessOn制作流程图
- C# WinForm GUI之WinForm基础
- 相对免赔额和绝对免赔额是什么意思,有什么区别?
- R语言并行计算spearman相关系数
- 软件定义网络 Software Defined Network (一)概述
热门文章
- nginx 配置php版本号,隐藏Apache、nginx和PHP的版本号的配置方法
- 华硕 x86 android,【华硕X79评测】学不会不收费 几步教你安装Android x86-中关村在线...
- java+boolean+属性,java – 从属性中获取int,float,boolean和string
- linux 帮助文档管理,Linux系统帮助文件使用——man命令
- 命令逐行显示_在LoadRunner中执行命令行程序之:popen()取代system()
- myeclipse打包java文件_MyEclipse将Java项目打包成jar文件的三种方法
- 用c语言求最大公约数的流程图,如何用c语言求最大公约数和最小公倍数
- 从中师到博士,我的22年...
- 年薪百万!这所高校一名本科生入选“天才少年”
- AI算法连载16:统计之聚类